Accord sur le traitement des données (« ATD ») de demande

Overview

AppLovin provides this translation as a courtesy. In the event of any conflict with the English version, the English version controls.

Date d’entrée en vigueur : 1er août 2023

Cet Accord sur le traitement des données (« ATD ») de demande d’AppLovin est inclus dans et soumis à l’Accord sur les conditions d’utilisation d’AppLovin disponible sur https://www.applovin.com/terms ou tout autre accord hors ligne applicable (« l’Accord ») entre AppLovin Corporation (« AppLovin ») (même si l’Accord a été conclu avec une autre Société affiliée d’AppLovin) et l’Utilisateur. Dans la mesure où vous utilisez les Services, vous serez considéré(e) comme ayant accepté cet ATD lors de l’acceptation ou de l’exécution de l’Accord applicable. 

  1. CHAMP D’APPLICATION
    1. Les Parties conviennent de conclure le présent ATD afin de garantir le respect des lois applicables en matière de protection des données. L’Utilisateur conclut cet ATD en son nom et au nom de ses sociétés affiliées autorisées. AppLovin peut divulguer des Données personnelles via l’utilisation des Services par l’Utilisateur et, compte tenu des obligations mutuelles énoncées dans les présentes, les Parties acceptent de se conformer aux dispositions suivantes concernant toutes les Données personnelles traitées dans le cadre des Services. Sous réserve des modifications indiquées ci-après, les termes de l’Accord resteront pleinement en vigueur. 
  2. DÉFINITIONS 

    Outre les termes définis dans l’Accord et ci-dessus, les termes suivants auront les significations suivantes aux fins du présent ATD :

    1. « Juridiction adéquate » désigne un pays qui assure un niveau adéquat de protection des droits et libertés des personnes concernées en matière de traitement des données personnelles, tel que déterminé par la Commission européenne dans le cas où le RGPD s’applique, et tel que déterminé par l’Information Commissioner’s Office du Royaume-Uni dans le cas où le RGPD du Royaume-Uni s’applique.
    2. « Société affiliée » désigne une entité qui contrôle directement ou indirectement une Partie au présent accord, qui est contrôlée par cette dernière ou qui se trouve sous contrôle conjoint avec cette dernière.
    3. « Addendum approuvé » désigne le modèle d’addendum (version B.1.0) émis par l’Information Commissioner’s Office (ICO) du Royaume-Uni et déposé devant le Parlement du Royaume-Uni conformément à l’article s119A de la loi sur la protection des données de 2018 le 2 février 2022, tel qu’il est révisé en vertu de la Section 18 de cet addendum.
    4. « CCPA » désigne la loi sur la protection des données personnelles du consommateur en Californie (California Consumer Privacy Act) de 2018, Cal Civ. Code §1798.100 et seq., ainsi que toutes les réglementations de mise en œuvre, et leurs modifications ultérieures, telles que décrites dans le California Privacy Rights Act de 2020 (« CPRA »).
    5. « Lois sur la protection des données » désigne la Loi européenne sur la protection des données, le CCPA, la loi brésilienne générale sur la protection des données personnelles, n° 13,709/2018 (la « LGPD »), ainsi que toute autre législation protégeant le droit des personnes physiques à la vie privée en ce qui concerne le traitement des Données personnelles dans la mesure applicable au traitement des Données personnelles par une Partie dans le cadre des Services.
    6. « Droits des personnes concernées » désigne les droits accordés aux Personnes concernées par les Données en vertu des Lois sur la protection des données.
    7. « Loi européenne sur la protection des données » désigne le RGPD, la Directive e-Privacy et la législation nationale de mise en œuvre, ainsi que la Loi fédérale suisse sur la protection des données.
    8. « RGPD » désigne le Règlement général sur la protection des données de l’UE 2016/679 du Parlement européen et du Conseil (« RGPD de l’UE ») et, le cas échéant, le « UK GDPR » tel que défini dans le Règlement 2019 sur la protection des données, la confidentialité et les communications électroniques (modifications, etc.) (sortie de l’UE).
    9. « État membre » désigne un état membre de l’Espace économique européen, ainsi que la Suisse et le Royaume-Uni.
    10. « CCT » désigne (a) en ce qui concerne les transferts de données de l’Union européenne vers des pays tiers qui ne sont pas jugés compétents par la Commission européenne, le Module 1 (de contrôleur à contrôleur) des clauses contractuelles types annexées à la Décision d’exécution de la Commission (UE) 2021/914 (les « CCT de l’UE ») ; (b) en ce qui concerne les transferts de données depuis le Royaume-Uni, le Module 1 (de contrôleur à contrôleur) des CCT de l’UE, tel que modifié par la Partie 2 : Clauses obligatoires de l’Addendum approuvé (les « Clauses obligatoires » du Royaume-Uni), ainsi que toute autre modification nécessaire et conforme aux CCT de l’UE (collectivement, les « CCT du Royaume-Uni ») ; et (c) toute clause mise à jour, révisée ou distincte relatives aux exigences de transfert de données du RGPD émises à tout moment par la Commission européenne, l’Information Commissioner’s Office du Royaume-Uni, toute autre autorité de protection des données applicable ou tout autre organisme ayant une autorité et une juridiction compétentes.
    11. « Données personnelles partagées » désigne les Données personnelles traitées par une Partie dans la mesure où cette Partie a reçu ces Données personnelles de l’autre Partie (cette autre Partie étant la « Partie émettrice » selon cette définition) dans le cadre de l’exécution de l’Accord. Afin d’écarter tout doute, une Partie est également considérée comme « recevant » des Données personnelles d’une Partie émettrice lorsque la Partie émettrice accorde l’accès à ces Données personnelles à la Partie destinataire.
    12. « Avis de transparence » a la signification qui lui est donnée à la clause 3.2(a).
    13. Les termes « Contrôleur », « Traitement », « Responsable du traitement », « Personne concernée » et « Données personnelles » ont la signification qui leur est donnée dans la loi européenne sur la protection des données. Dans la mesure où les lois sur la protection des données utilisent des termes différents pour couvrir des concepts similaires à ceux couverts par les termes en gras susmentionnés dans la présente Section 2.13, alors « Contrôleur », « Traitement », « Responsable du traitement », « Personne concernée » et « Données personnelles » auront la signification attribuée à ces différents termes en vertu desdites Lois sur la protection des données.
  3. TRAITEMENT DES DONNÉES ; CONTRÔLEURS INDÉPENDANTS
    1. AppLovin et l’Utilisateur : (a) sont des Contrôleurs indépendants en ce qui concerne les Données personnelles partagées ; et (b) détermineront individuellement les finalités et les moyens de leur propre traitement des données personnelles. 
    2. Chaque Partie est tenue, en ce qui concerne le Traitement des Données personnelles partagées, de se conformer aux Lois sur la protection des données, notamment de la manière suivante :
      1. chaque Partie est tenue de communiquer tous les avis applicables aux Personnes concernées conformément aux Lois sur la protection des données quant au Traitement légitime qu’elle compte effectuer sur les Données personnelles partagées (« Avis de transparence »).  Conformément aux Lois sur la protection des données, l’utilisateur est tenu de communiquer l’utilisation qu’il fait des Services et la manière dont AppLovin traite les Données personnelles dans ses Avis de transparence ; 
      2. chaque Partie est tenue de fournir tous les mécanismes requis pour les Droits applicables des Personnes concernées, et de leur donner effet, conformément aux Lois sur la protection des données, ainsi que de répondre aux demandes des autorités gouvernementales ;
      3. L’Utilisateur ne doit pas divulguer les Données personnelles partagées à des tiers, sauf autorisation expresse en vertu de l’Accord. En outre, l’Utilisateur est tenu de supprimer toutes les Données personnelles partagées dans les plus brefs délais en cas de survenance de l’un des événements suivants : (i) lorsque l’Utilisateur n’est pas l’auteur de la proposition retenue pour une impression à laquelle se rapportent lesdites Données personnelles partagées ou (ii) après que l’Utilisateur a fourni une Publicité (directement ou indirectement, par exemple via un serveur publicitaire tiers dans ce dernier cas) en réponse à une demande de publicité à laquelle se rapportent lesdites Données personnelles partagées. Sans limiter ce qui précède, l’Utilisateur ne doit pas, et ne doit pas autoriser un tiers à utiliser des Données personnelles partagées en lien avec toute activité de profilage ou de suivi d’un utilisateur final ou de toute autre Personne concernée ou de toute propriété mobile ou éditeur ;
      4. aucune des Parties ne traitera les Données personnelles partagées à des fins autres que celles énoncées dans son Avis de transparence et à moins que ce Traitement ne soit également autorisé en vertu des Lois sur la protection des données et de l’Accord ;
      5. chaque Partie est tenue de s’assurer que tous ses employés travaillant au Traitement de ces Données personnelles partagées agissent conformément au présent ATD ;
      6. chaque Partie est tenue de mettre en œuvre des mesures de sécurité techniques et organisationnelles pour empêcher (i) la destruction accidentelle, illégale ou non autorisée, la perte, l’altération, la divulgation des Données personnelles partagées ou l’accès aux Données personnelles partagées ou (ii) tout autre incident de sécurité qui équivaut à une « violation de données personnelles » (tel que ce terme ou tout autre terme similaire, tel que « violation du système de sécurité » ou « violation de données », est défini dans les Lois sur la protection des données) des Données personnelles partagées (dans les deux cas (i) et (ii), une « Violation des données ») ; et
      7. chaque Partie accepte que tout accord avec un sous-traitant devra être conforme aux Lois sur la protection des données.
    3. Chaque Partie est notamment tenue, sauf interdiction en vertu du droit applicable, d’informer l’autre sans retard injustifié (i) de toute demande d’exercice de ses Droits en tant que personne concernée reçue par cette Partie concernant les Données personnelles partagées, dans la mesure où ces notifications sont requises en vertu de la Loi sur la protection des données ; (ii) concernant les demandes réglementaires impliquant le Traitement des Données personnelles partagées, et (iii) de toute Violation de données impliquant les Données personnelles partagées dans la mesure où elle entraîne une destruction matérielle, une perte, une altération, une divulgation de ces Données personnelles partagées ou un accès à ces Données personnelles partagées. 
    4. Sans limitation des obligations et restrictions autrement énoncées dans le présent ATD et ailleurs dans l’Accord, chaque Partie est tenue de fournir tous les avis requis aux Personnes concernées et d’obtenir toutes les autorisations et tous les consentements nécessaires de la part des Personnes concernées chaque fois que cela est requis en vertu des Lois sur la protection des données, permettant ainsi légalement à cette Partie de traiter les Données personnelles partagées en sa qualité de Contrôleur indépendant des Données personnelles partagées.
    5. L’Utilisateur est tenu d’honorer, conformément aux Lois sur la protection des données applicables et aux cadres d’autorégulation applicables, tous les signaux qu’AppLovin envoie à l’Utilisateur concernant le fait que la Personne concernée a fourni, ou n’a pas fourni (ou a retiré), son consentement ou s’est désengagé des « ventes » ou « partages » (tels que ces termes « vente » et « partage » sont définis dans les Lois sur la protection des données et le CCPA, respectivement) ou tout autre signal similaire (par exemple, un retrait de la liste de diffusion de publicités ciblées). 
    6. En ce qui concerne le CCPA, (i) sans limitation de toute autre restriction stipulée dans l’Accord, les Données personnelles partagées sont divulguées à l’Utilisateur dans le but limité et spécifié de permettre à l’Utilisateur d’enchérir sur l’inventaire publicitaire, ou de diffuser des Publicités via les Services et l’Utilisateur est tenu de traiter les Données personnelles partagées uniquement à ces fins ; (ii) l’Utilisateur est tenu de se conformer au CCPA, notamment en fournissant le même niveau de protection de la vie privée que celui requis pour les Entreprises en vertu du CCPA ; (iii) AppLovin peut prendre des mesures raisonnables et appropriées pour s’assurer que l’Utilisateur traite les Données personnelles partagées de manière conforme aux obligations d’AppLovin en vertu du CCPA ; (iv) l’Utilisateur est tenu d’informer AppLovin rapidement après que l’Utilisateur aura convenu ne plus pouvoir remplir ses obligations en vertu du CCPA ; et (v) AppLovin peut, sur préavis, prendre des mesures raisonnables et appropriées pour mettre fin et remédier au Traitement non autorisé des Données personnelles partagées.
  4. GÉNÉRALITÉS
    1. En cas de conflit ou de divergence entre les CCT, l’Accord et le présent ATD, l’ordre de priorité suivant s’appliquera : (i) les CCT, (ii) le présent ATD et (iii) l’Accord. 
    2. Le présent ATD ne modifie aucunement les limitations de responsabilité énoncées dans l’Accord.
    3. Le présent ATD entrera en vigueur à la date à laquelle l’Utilisateur a accepté l’Accord ou à la date à laquelle l’Utilisateur a commencé à utiliser les Services.  Le présent ATD prendra fin simultanément et automatiquement à la résiliation ou à l’expiration de l’Accord.
    4. Dans la mesure requise par la Loi sur la protection des données, le présent ATD sera régi par les lois de la juridiction applicable.  Dans tous les autres cas, le présent ATD sera régi par les lois de la juridiction stipulée dans l’Accord.
  5. TRANSFERTS INTERNATIONAUX
    1. Les Parties conviennent que les CCT s’appliquent au transfert de Données personnelles partagées, y compris à l’accès à celles-ci, dans le cas d’un transfert entre AppLovin et l’Utilisateur, où :
      1. l’Utilisateur n’est pas établi dans une Juridiction adéquate ; et
      2. le Traitement des Données personnelles partagées est soumis à la Loi européenne sur la protection des données ou à la LGPD ou AppLovin est autrement tenu contractuellement de conclure les CCT.
    2. Aux fins des CCT :
      1. L’Annexe 1.A (Liste des Parties) est considérée comme faisant partie intégrante des informations de la Liste I ;
      2. L’Annexe 1.B (Description du Transfert) est considérée comme faisant partie intégrante des informations de la Liste III ; 
      3. L’Annexe 1.C (Autorité de contrôle compétente) est considérée comme faisant référence à l’autorité de contrôle identifiée à la Liste II ; 
      4. L’Annexe II (Mesures techniques et organisationnelles) est considérée comme faisant partie intégrante des informations de la Liste II ;
      5. La langue facultative dans la clause 7 des CCT ne s’applique pas ;
      6. La langue facultative dans la clause 11(a) des CCT ne s’applique pas ;
      7. Conformément à la clause 17, les CCT seront régies par les lois irlandaises ;  
      8. Conformément à la clause 18(b) des CCT, les Parties régleront les litiges relevant des CCT devant les tribunaux de Chypre ; 
      9. En ce qui concerne le Tableau 4 référencé dans les Clauses obligatoires du Royaume-Uni, aucune des Parties n’aura le droit de résilier l’Addendum approuvé conformément à la clause 19 des Clauses obligatoires du Royaume-Uni ; et
      10. Concernant les exportateurs de données établis au Brésil (à des fins de transfert de Données personnelles partagées en vertu de la LGPD), les CCT seront régies par les lois de la République fédérative du Brésil. En outre, pour de tels transferts dans le cadre de la LGPD, la Loi sur la protection des données applicable doit être comprise comme étant la LGPD et l’autorité de contrôle est l’Autorité nationale de protection des données au Brésil (l’ANPD).

LISTE I

PARTIES

Partie contractuelle et rôle

Adresse de la partie, nom, fonction et coordonnées de la personne de contact et, le cas échéant, de son délégué à la protection des données et/ou de son représentant dans l’UE

Activités pertinentes pour les données transférées en vertu des présentes clauses
AppLovin(Contrôleur) AppLovin Corporation

Adresse : 1100 Page Mill Road, Palo Alto, CA 94304 États-Unis

E-mail : [email protected] 

 Les données personnelles sont transférées par AppLovin à l’Utilisateur dans le cadre des Services.
Utilisateur(Contrôleur) Tel que spécifié dans l’Accord.

Données personnelles mises à la disposition de l’Utilisateur dans le cadre des Services.

LISTE II 

Les CCT

Informations considérées comme faisant partie intégrante des CCT

Exportateur de données

AppLovin

Importateur de données

Utilisateur

Annexe I.A

Liste des Parties : les informations pertinentes concernant « l’Exportateur de données » et « l’Importateur de données » en vertu de la présente Liste I et de la Liste II sont incorporées par référence dans les présentes.

Annexe I.B

Description du Transfert : les informations pertinentes de la Liste III ci-dessous sont incorporées par référence dans les présentes.

Annexe I.C

Autorité de contrôle compétente : l’autorité de contrôle compétente sera la Commission de protection des données personnelles de Chypre à l’exception du fait que, dans le cas des CCT du Royaume-Uni, l’autorité de contrôle compétente en vertu des CCT du Royaume-Uni sera l’Information Commissioner du Royaume-Uni.

Annexe II

Mesures techniques et organisationnelles : 

L’importateur de données mettra en œuvre et maintiendra des garanties administratives, physiques et techniques appropriées pour la protection de la sécurité, de la confidentialité et de l’intégrité des Données personnelles partagées, incluant :

1. Mesures de pseudonymisation et de cryptage des Données personnelles partagées : 

A. Minimisation des données et protection de la vie privée dès la conception (privacy-by-design) dans son logiciel ou tout autre cycle de développement de produits/services afin d’empêcher que les Données personnelles partagées soient utilisées d’une manière allant à l’encontre des dispositions de l’Accord. Par exemple, l’Importateur de données ne travaille qu’avec des données pseudonymisées et dispose de contrôles internationaux afin d’interdire au personnel interne et à tout sous-traitant concerné de réidentifier les données en Données personnelles directement identifiantes (par exemple, nom, adresse).

B. L’Utilisateur n’utilise pas de Données personnelles sensibles (voir « catégories spéciales de données personnelles » dans le cadre du RGPD) ni de données personnelles directement identifiables dans le cadre de son utilisation des Services.

C. L’Utilisateur utilise une cryptographie appropriée et standard dans l’industrie pour stocker des Données personnelles partagées (par exemple, le chiffrement au repos) et pour utiliser des identifiants hachés ou d’autres identifiants protégés par cryptographie, dans la mesure du possible.

2. Mesures garantissant la confidentialité permanente des systèmes et services de traitement :

A. L’Utilisateur a mis en œuvre et maintient un programme de sécurité des informations écrites et a mis en œuvre des mesures garantissant l’intégrité, la disponibilité et la sécurité des Données personnelles, y compris des analyses de vulnérabilité régulières et la protection des terminaux.

B. L’Utilisateur dispose d’un calendrier documenté de conservation/suppression des données qui s’aligne sur les exigences de conservation/suppression établies en vertu de l’Accord concernant les Données personnelles partagées.

3. Mesures garantissant l’intégrité permanente des systèmes et services de traitement :

A. L’Utilisateur a mis en œuvre et maintient un programme de sécurité des informations écrites qui contient des mesures administratives, techniques et physiques appropriées pour se protéger contre les Violations de données potentielles et remédier aux Violations de données réelles ou raisonnablement soupçonnées, et conformes (i) aux meilleures pratiques du secteur de l’Utilisateur et (ii) à toutes les exigences de sécurité requises en vertu des Lois sur la protection des données.

4. Mesures garantissant la disponibilité et la résilience permanentes des systèmes et services de traitement :

A. L’Utilisateur maintient la disponibilité et la résilience des Données personnelles partagées via son programme de sécurité des informations écrites, par exemple via des sites opérationnels sécurisés et surveillés, des journaux d’événements et autres journaux auditables, une infrastructure tolérante avec des redondances appropriées, des processus et politiques de réponse aux incidents et de diligence raisonnable des fournisseurs, des plans de continuité d’activité, des procédures de sauvegarde et des plans de reprise après sinistre.

5. Mesures garantissant la capacité de rétablir la disponibilité des Données personnelles partagées ainsi que l’accès à celles-ci en temps opportun dans le cas d’un événement physique ou technique :

A. Voir ci-dessus.

6. Processus de test et d’évaluation réguliers de l’efficacité des mesures techniques et organisationnelles afin d’assurer la sécurité du Traitement :

A. Au moins une fois par an, les mesures de sécurité et le programme de sécurité des informations écrites sont examinés et testés afin de vérifier leur conformité avec les exigences énoncées dans les présentes et avec les meilleures pratiques de l’industrie.

B. La conformité en matière de sécurité est intégrée dans le cycle de développement des produits/services de l’Utilisateur et les équipes de l’Utilisateur collaborent régulièrement pour s’assurer que ces normes sont tenues à jour.

7. Mesures d’identification et d’autorisation des utilisateurs :

A. L’Utilisateur a mis en œuvre des procédures permettant d’authentifier les demandes de Personnes concernées ayant soumis des demandes de droits (par exemple, accès, portabilité, effacement), ainsi que de répondre à ces demandes, et ces procédures sont conformes aux Lois sur la protection des données.

B. L’Utilisateur a mis en place des contrôles opérationnels et techniques afin d’assurer le contrôle approprié de l’accès aux systèmes en ce qui concerne les Données personnelles partagées et l’infrastructure connexe, de sorte que seul le personnel autorisé se voie accorder l’accès en fonction du principe « need to know » (besoin de savoir) (et que le personnel actuel ou ancien non autorisé ne puisse pas accéder de manière inappropriée à ces systèmes).

8. Mesures de protection des Données personnelles partagées pendant le stockage :

A. Voir ci-dessus, et l’Accord plus globalement, pour les limitations sur la façon dont l’Utilisateur peut traiter les Données personnelles partagées.

B. L’Utilisateur a mis en œuvre et maintient des procédures de minimisation des données concernant les Données personnelles partagées stockées sur les systèmes de l’Utilisateur ou de ses sous-traitants.

9. Mesures garantissant la sécurité physique des lieux où les Données personnelles partagées sont traitées :

A. Les installations impliquées dans le Traitement des Données personnelles partagées ne sont accessibles qu’au personnel autorisé et il existe des contrôles logiques et physiques les concernant (par exemple, authentification à deux facteurs, pare-feu, anti-malware, contrôles d’accès, VPN, badges d’accès et journaux, barrières physiques).

10. Mesures garantissant la responsabilité

A. L’utilisateur a effectué un exercice de cartographie des données conforme aux Lois sur la protection des données et a créé un enregistrement approprié des activités de Traitement en rapport avec celui-ci.

B. L’Utilisateur a mis en œuvre un programme de protection de la vie privée adapté à la portée et à la nature des Données personnelles traitées, y compris, le cas échéant, l’examen et le respect des cadres d’autorégulation si nécessaire, la réalisation d’évaluations de l’impact sur la protection des données et la désignation d’un délégué à la protection des données (DPD) ou d’autres personnes responsables de la protection de la vie privée et de la sécurité des données, le cas échéant.

LISTE III

DESCRIPTION DU TRANSFERT

Catégories de personnes concernées dont les données sont transférées 

Les données personnelles transférées concernent les catégories de personnes concernées suivantes :

  • Personnes qui font l’objet d’une demande d’enchère envoyée par AppLovin à l’Utilisateur ou qui reçoivent une impression.

Catégories de données transférées

Les données personnelles transférées concernent les catégories de données suivantes :

Identifiants publicitaires d’appareils mobiles (par exemple, IDFA/identifiant publicitaire Google, adresse IP) ou autres identifiants numériques/d’appareils ;

Données de l’appareil/agent utilisateur telles que la marque, le modèle, le système d’exploitation, les propriétés et les paramètres de l’appareil, les données de localisation, l’ID de l’application et la version de l’application ;

Données concernant les clics et les vues (impressions) ;

Données sensibles transférées (le cas échéant)

Les données personnelles transférées concernent les catégories de données sensibles suivantes :

Aucune.

Fréquence du transfert

Le Transfert aura lieu en temps réel et en continu conformément à l’Accord 

Nature du traitement et objet du ou des transferts ainsi que du traitement ultérieur

Les Données personnelles sont traitées dans le cadre de l’utilisation des Services conformément à l’Accord.

Durée pendant laquelle les données personnelles seront conservées ou, si cela n’est pas possible, les critères utilisés pour déterminer cette durée

L’Utilisateur ne conservera pas les Données personnelles partagées au-delà du délai prévu par l’Accord.

Pour les transferts aux responsables du traitement (sous-traitants), précisez également l’objet, la nature et la durée du traitement

Les Données personnelles transférées ne peuvent être divulguées qu’aux destinataires ou catégories de destinataires suivant(e)s :

Prestataires de services auxquels l’Utilisateur fait appel dans le cadre des Services et de ceux autrement décrits dans son Avis de transparence. 

La durée du Traitement s’alignera sur la période de conservation des données décrite ci-dessus.